Alla fine di aprile, Apple ha rilasciato iOS 14.5.1 e altri aggiornamenti software introducendo importanti correzioni alla sicurezza per WebKit. Tuttavia, alcuni ricercatori sottolineano che esiste ancora un exploit attivo anche nelle ultime versioni di iOS e macOS.
Come sottolineato dalla società di sicurezza Theori, la vulnerabilità è correlata ad AudioWorklet, che gestisce l’output audio sulle pagine web e causa il crash di Safari. Con i comandi giusti, gli aggressori possono utilizzare questo exploit per eseguire codice dannoso su iPhone, iPad e Mac.
Tuttavia, ciò che incuriosisce davvero i ricercatori è che una possibile correzione per questa vulnerabilità è stata segnalata quasi tre settimane fa da alcuni sviluppatori. Nonostante ciò, Apple non ha ancora incluso la correzione nelle ultime versioni dei suoi sistemi operativi. “Non ci aspettavamo che Safari fosse ancora vulnerabile settimane dopo che la patch è stata pubblicata”, ha detto uno dei ricercatori.
Come ha sottolineato Theori, la finestra tra una patch pubblica e la sua inclusione nelle versioni ufficiali dovrebbe essere “il più piccola possibile”, ma per qualche motivo sconosciuto Apple deve ancora riconoscere il problema.
Apple sta attualmente lavorando su iOS 14.7 e altri aggiornamenti software, che sono disponibili come versioni beta per gli sviluppatori, quindi forse la società includerà finalmente la correzione dell’exploit WebKit in queste versioni.
Leggi o Aggiungi Commenti